Сегодня рассмотрим два распространённых способа настройки аутентификации. Это ни что иное, как процесс обмена учетными данными для идентификации пользователя.⠀
Долгое время аутентификация на основе файлов cookies была стандартным и надёжным методом сохраняющей состояние, когда информация хранится как на сервере, так и на стороне клиента. Сервер отслеживает активные сеансы в базе данных, а на стороне клиента создаётся файл cookie, содержащий идентификатор сеанса по схеме ⬇️
▪️ пользователь вводит свои учётные данные;
▪️ сервер их проверяет и создаёт сеанс, который сохраняется в базе данных;
▪️ файл cookies размещается в браузере пользователя;
▪️ при следующих запросах идентификатор проверяется и обрабатывается;
▪️ при выходе из приложения сеанс пропадает, как на стороне клиента, так и сервера.⠀
Аутентификация на основе tokens стала популярной с развитием одностраничных приложений и она является безостановочной. Сервер не хранит информацию о том, какие пользователи вошли в систему, а каждый запрос к сопровождается токеном, который сервер использует для проверки подлинности запроса.
Схема такая ⬇️
▪️ пользователь вводит учетные данные для входа;
▪️ сервер их проверяет и возвращает подписанный токен;
▪️ токен хранится на стороне клиента в локальном или сеансовом хранилище;
▪️ последующие запросы к серверу включают этот токен в качестве дополнительного заголовка авторизации;
▪️ сервер обрабатывает запрос и декодирует JWT, если токен действителен
▪️ после выхода из системы токен уничтожается на стороне клиента, взаимодействие с сервером не требуется.⠀
Подытожим: преимущество токенов в том, что они не требует сохранения состояния. Каждый токен содержит все данные, необходимые для проверки, а серверной части не надо хранить запись о них.
#methed_про_ит